Pastein: Чтобы разорвать эту петлю маршрутизации и вернуть интернет, нам нужно добавить порт **53** в исключения фаервол

Загрузка данных
Чтобы разорвать эту петлю маршрутизации и вернуть интернет, нам нужно добавить порт **53** в исключения фаервола, чтобы прозрачный прокси (TPROXY) его игнорировал.
Скопируй и выполни эти блоки команд по очереди. Я разделил их на три этапа: моментальное решение, попытка сохранить настройки после перезагрузки и итоговая проверка.
### Шаг 1. Горячее решение (Hotfix)
Этот блок команд немедленно вставит правила исключения в фаервол (в обход прокси) и перезапустит локальный DNS-сервер. Интернет должен появиться сразу после выполнения.
```bash
# Добавляем исключения для 53 порта в возможные цепочки nftables
nft insert rule inet fw4 mangle_prerouting udp dport 53 accept 2>/dev/null
nft insert rule inet fw4 mangle_prerouting tcp dport 53 accept 2>/dev/null
nft insert rule inet sing-box prerouting udp dport 53 accept 2>/dev/null
nft insert rule inet sing-box prerouting tcp dport 53 accept 2>/dev/null

# На случай, если включена совместимость с iptables
iptables -t mangle -I PREROUTING -p udp --dport 53 -j ACCEPT 2>/dev/null

# Сбрасываем зависшие соединения dnsmasq и перезапускаем его
/etc/init.d/dnsmasq restart

```
### Шаг 2. Сохранение настроек (Permanent Fix)
Горячее решение сбросится при перезагрузке роутера. Этот блок проверит, используешь ли ты стандартный интерфейс OpenWrt для sing-box (через UCI), и если да — пропишет исключение порта навсегда.
```bash
if uci get sing-box.main >/dev/null 2>&1; then
    uci del_list sing-box.main.exclude_port='53' 2>/dev/null
    uci add_list sing-box.main.exclude_port='53'
    uci commit sing-box
    /etc/init.d/sing-box restart
    echo "[OK] Порт 53 успешно добавлен в постоянные исключения sing-box."
else
    echo "[INFO] Стандартный UCI-конфиг не найден. Если после перезагрузки роутера интернет снова пропадет, дай знать — пропишем правила напрямую в автозапуск фаервола."
fi

```
### Шаг 3. Диагностика (Проверка результата)
Выполни этот блок, чтобы убедиться, что порты очистились, петля разорвана, а локальный DNS отвечает на запросы с твоего внутреннего IP-адреса.
```bash
echo "=== 1. ПРОВЕРКА ПОРТОВ (ОЧЕРЕДЬ ДОЛЖНА ИСЧЕЗНУТЬ) ==="
netstat -tulnp | grep -E ':53\b'

echo "=== 2. ПРОВЕРКА DNS ЧЕРЕЗ LAN IP РОУТЕРА ==="
nslookup google.com 10.10.23.1

echo "=== 3. ПРОВЕРКА ПРАВИЛ ФАЕРВОЛА ==="
nft list ruleset | grep -i "dport 53 accept"

```
Если во втором пункте диагностики nslookup успешно вернет IP-адреса Google, значит проблема полностью устранена и на твоих устройствах (ПК, телефон) интернет уже работает.
Больше возможностей при регистрации:
